Informática Forense I

Detectando conexiones SSH en Linux

Fundación Universitaria Del Área Andina.

Facultad de Ingeniería De sistemas.

Informática Forense I.

Fabio Alberto Rubio Coba

Juan Camilo Cano

Johan Sebastián Menotty Corrales

2021

1
Informática Forense I

Tabla de contenido
INTRODUCCIÓN......................................................................................................................................3
OBJETIVOS..............................................................................................................................................4
Detectando conexión SSH en Linux........................................................................................................5
Instalación de sistema Operativo Linux Lite...........................................................................................6
Activación de la conexión SSH................................................................................................................8
Responder a las siguientes preguntas:.................................................................................................14
¿Qué proceso identifica la conexión establecida usando el servicio SSH?...........................................14
Con el comando w determinar ¿qué equipos están conectados?........................................................15
Identificar IP fuente, puerto origen, IP destino, puerto destino. Utilizando el comando netstat.....15
Verificar cómo el sistema detectó la conexión y cómo lo almacena en los logs del sistema................16
Conclusión............................................................................................................................................18
Referencias Bibliográficas.....................................................................................................................19

2
Informática Forense I

INTRODUCCIÓN

SSH es un poderoso servicio basado en software para asegurar las

conexiones de red por medio de cifrado/descifrado automático en el origen y destino

de las conexiones, con lo que se logra sesiones transparentes para el usuario y

robustam

ente aseguradas SSH se soporta en una arquitectura cliente/servidor, donde

el programa conocido como servidor es el responsable de aceptar o no las

conexiones entrantes, por otro lado el cliente es el responsable de iniciar la sesión

hacia uno o más servidores.

La arquitectura de SSH soporta múltiples sesiones de forma simultánea y

constituye el estándar actual para establecer conexiones transparentes. El protocolo

sobre el que se soporta SSH cubre los servicios típicos de autenticación, cifrado se

integridad de las conexiones, lo que genera una robusta garantía de que las partes

que se comunican son genuinas y no hay riesgo de que los mensajes hayan sido

modificados durante el tránsito por la red.

3
Informática Forense I

OBJETIVOS.
Objetivo General.

 El objetivo de este taller es que el estudiante sepa cómo se pueden

detectar las conexiones realizadas utilizando el servicio ssh en sistemas operativos

Linux.

 Desarrollar habilidades para el uso básico de conexiones seguras con

SSH.G

 Comprender los distintos servicios que pueden asegurarse con SSH.

 Practicar los mecanismos para establecer sesiones SSH sin solicitud

de autenticación.

 Resolver problemas de tareas en nodos remotos sobre canales SSH

4
Informática Forense I

Detectando conexión SSH en Linux

Como primera medida se realiza el intento de la prueba en el sistema Ubuntu,

a lo cual sale el error de que el open SSH no estaba disponible por lo tanto no

permitía la instalación dentro de Ubuntu, revisando en foros se cambia las fuentes

de descarga de los paquetes y tras varios intentos no fue posible realizarlo por lo

que se va a realizar la prueba con el sistema Linux Lite.

5
Informática Forense I

6
Informática Forense I

Instalación de sistema Operativo Linux Lite

1- Creamos la máquina virtual con el aplicativo virtual box y añadimos la

ISO correspondiente al Linux lite en este caso para la prueba

2- Continuamos el proceso básico de configuración y llegamos al

apartado donde debemos crear el usuario que en este caso se llamara forense y

establecemos una contraseña.

3- Esperamos que el equipo descargue los ficheros necesarios y realice

las configuraciones pertinentes

7
Informática Forense I

8
Informática Forense I

4- Pantallazos de la instalación terminada y como es la interfaz gráfica del

sistema operativo Linux Lite

9
Informática Forense I

Activación de la conexión SSH

Para activar la conexión SSH primero debemos instalar el paquete en ambas

máquinas virtuales, por lo que abrimos la terminal y ejecutamos el siguiente

comando:

sudo apt-get install openssh-server

Ingresamos la clave del usuario la cual nos solicitara para continuar con la

instalación

Y confirmamos con la tecla s (si)

10
Informática Forense I

Una vez se haya realizado la instalación procederemos a realizar la

configuración por lo tanto escribimos el siguiente comando:

sudo gedit /etc/ssh/ssh_config

Nota: En esta parte nos sale un error que no encuentra el gedit por lo cual

procedemos a instalarlo con el siguiente comando para realizar la configuración.

Con el comando: sudo apt-get install gedit

Repetimos el proceso de la ejecución del comando

sudo gedit /etc/ssh/ssh_config

y nos abre el siguiente archivo de configuración

11
Informática Forense I

Verificamos el puerto que se esté utilizando que en este caso es el puerto 22

para poder realizar la conexión a través de este puerto en caso de modificarlo es

importante tenerlo en cuenta a la hora de intentar la conexión.

Verificamos que tenga el protocolo # 2

En el apartado MaxSstartups elegimos la cantidad de conexiones simultaneas

permitidas.

Le damos en save y cerramos el archivo

Reiniciamos el servicio SSH para que tome las configuraciones que se

realizaron con el comando:

sudo /etc/init.d/ssh restart

Y luego salimos con la palabra exit de la terminal.

12
Informática Forense I

Procedemos a abrir la terminal del equipo al que nos queremos conectar y

ejecutamos el comando

Ifconfig y verificamos la dirección ip que nos esté arrojando que en este

caso es 192.168.1.12

En el equipo del que queremos realizar la conexión, procedemos a entrar al

terminar y ejecutamos el comando:

ssh –p 22 [email protected]

Ponemos la contraseña del usuario

Y verificamos que ya estamos conectados

13
Informática Forense I

Una vez realizada la conexión en el equipo vamos a proceder a realizar varios

procesos desde la maquina anfitrión a la maquina cliente

Con el comando Ls: Mostramos los archivos que se encuentren en la ruta en

la que estamos en estos momentos

Con el comando Cd: Accedemos a el directorio especifico en este caso

Desktop

Con el comando Touch realizamos la creación de un archivo que en este

caso se llamara pruebaforense.txt

14
Informática Forense I

El comando rm lo utilizamos para eliminar un archivo en la maquina destino

que en este caso habíamos creado con el nombre pruebaforense.txt

Con el comando mkdir creamos un directorio(carpeta) que en este caso se

llamara forenseeje4

Ingresamos a la carpeta con el comando cd forenseeje4

Y creamos el archivo con el comando: Touch forense4.txt

15
Informática Forense I

Para salir con el comando de la conexión remota ejecutamos el comando exit

Responder a las siguientes preguntas:

¿Qué proceso identifica la conexión establecida usando el servicio
SSH?

R:// El proceso que identifica es que en la terminal aparece la ruta de la

conexión del equipo cliente y adicional una vez se realiza la conexión en el terminal

informa si la conexión fue establecida o hubo algún error

16
Informática Forense I

Con el comando w determinar ¿qué equipos están conectados?

R:// Con el comando w desde la maquina cliente verificamos desde que

dirección ip se está realizando la conexión que en este caso es desde el 192.168.1.1

Identificar IP fuente, puerto origen, IP destino, puerto destino.

Utilizando el comando netstat

R:// Con el comando netstat podemos identificar que la conexión está

entrando desde la IP 192.168.1.11 por el puerto 35884 que el estado es conectado,

utilizando el protocolo tcp

17
Informática Forense I

Verificar cómo el sistema detectó la conexión y cómo lo almacena en

los logs del sistema.

Para verificar en los logs, se procede a cerrar la conexión por medio de ssh y

volver a iniciarla para buscar los logs que se generan más recientemente

inmediatamente nos conectamos por ssh, por lo que procedemos a ejecutar el

comando

cat /var/log/auth* | grep Accepted

En el cual podemos identificar las conexiones

18
Informática Forense I

En estos logs se establece se evidencia que la conexión por parte de la ip

192.168.1.11 a través del puerto 35884 ha sido desconectado y se evidencia que ha

sido aceptada una nueva conexión por parte de la ip 192.168.1.11 pero a través del

puerto 35926.

19
Informática Forense I

Conclusión

Hoy le hemos dado un gran vistazo a uno de los protocolos más populares de

Internet: SSH.

Hemos visto cuáles son sus principales ventajas y desventajas, sus funciones,

las posibilidades que brinda, cómo trabaja en conjunto con otras herramientas y lo

seguro que resulta ser gracias a sus distintos tipos de encriptación.

Si buscas cifrar la información y tener un protocolo de comunicación seguro,

entonces has elegido bien, SSH es la mejor opción Obtener una comprensión en

profundidad de la forma subyacente de funcionamiento de SSH puede ayudarle a los

usuarios a comprender los aspectos de seguridad de esta tecnología. La mayoría de

la gente considera este proceso extremadamente complejo y poco comprensible,

pero es mucho más simple de lo que la mayoría piensa.

Con suerte, este trabajo de SSH te ha ayudado a ver la forma en que se

pueden combinar diferentes tecnologías para crear un sistema robusto en el que

cada mecanismo tiene un papel muy importante que desempeñar. Además, ahora ya

sabes por qué Telnet se convirtió en una cosa del pasado tan pronto apareció SSH.

20
Informática Forense I

Referencias Bibliográficas

 C., D. (2017, September 7). ¿Qué Es El Protocolo SSH Y Cómo Funciona? Retrieved

April 13, 2021, from Hostinger.co website: https://www.hostinger.co/tutoriales/que-

es-ssh

 EL PROTOCOLO SSH. (n.d.). Retrieved April 13, 2021, from Nisu.org website:

http://spi1.nisu.org/recop/al02/mauro/index.html

 Informatico, U. S. (2016, November 25). Solucion a “se interrumpió la ejecución de

dpkg.” Retrieved April 13, 2021, from Wordpress.com website:

https://unsimpleinformatico.wordpress.com/2016/11/25/solucion-a-se-interrumpio-

la-ejecucion-de-dpkg/

 programador clic. (n.d.). Retrieved April 13, 2021, from Programmerclick.com

website: https://programmerclick.com/article/344667907/

 Smaldone, J. (n.d.). Introducción a Secure Shell. Retrieved April 13, 2021, from

Tldp.org website: http://es.tldp.org/Tutoriales/doc-ssh-intro/introduccion_ssh-

0.2.pdf

21